Журнал "Information Security/ Информационная безопасность" #6, 2020

• 21 АСУ ТП и IOT www.itsec.ru В наши дни существенно увеличились темпы технологического развития, циф- ровой трансформации объектов АСУ ТП, гораздо быстрее появляются новые угро- зы и уязвимости, банки данных угроз ежемесячно пополняются десятками новых записей. Уязвимости открываются по целому спектру используемых ком- понентов. 1. Промышленные системы с возмож- ностью эксплуатации извне. 2. Сетевые устройства промышленного назначения. 3. Системы SCADA, распределенные системы управления. 4. ПЛК-системы. 5. Обеспечивающие компоненты: системы видеонаблюдения, менеджеры лицензий, операционные системы. И встает вопрос: что нужно делать для построения эффективной защиты объектов АСУ ТП? Вроде бы проводятся отраслевые мероприятия, конференции, ФСТЭК проясняет конкретные меры и действия по выполнению требований приказов 31, 235, 239. Но на местах, как показывает практика, все реализуется очень тяжело, долго и фактически выполняется уже только на этапе прак- тической реализации. На каком уровне начинать построение эффективной системы защиты объектов АСУ ТП? Начать с низкого уровня или с самого высокого? Может быть, надо комплексно подходить, но хватит ли на это финансовых ресурсов? В сфере информационной безопасно- сти вообще не хватает подготовленных специалистов, а для проектов в сфере цифровизации промышленных пред- приятий эта проблема стоит еще острее. С чего начинать Необходимо строить системы защиты и на уровне операторского диспетчер- ского управления, и на уровне автома- тического управления, на уровне под- систем ввода-вывода, исполнительных датчиков. Есть понимание, какие данные необходимо защищать в том или ином случае, какие программно-технические комплексы использовать, но нет гото- вого комплексного решения, которое можно выбрать из имеющегося перечня и применить на конкретном предприя- тии, в конкретной отрасли. Да, есть приказ № 31, есть соответ- ствующие требования, есть подходы, разработаны соответствующие докумен- ты – вроде бы все понятно. А вот как на практике даже сформулировать эти тре- бования для своего конкретного объекта? Не говоря уже о практической реализа- ции соответствующих требований при построении и внедрении эффективных систем защиты объектов АСУ ТП! 1. Все начинается с аудита. Провести аудит самостоятельно зачастую тяжело, потому что не хватает ни времени, ни знания необходимых методик, ни техни- ческих возможностей. Например, один из этапов аудита – проведение тестиро- вания, но кто же на действующих объ- ектах АСУ ТП разрешит провести тести- рование в полном объеме! 2. Далее необходимо сформулировать требования, используя приказы ФСТЭК, ГОСТы, предназначенные для создания систем в защищенном исполнении: ГОСТ Р 51583–2014, ГОСТ Р 51624–2000, ГОСТ 34.601-90, ГОСТ 34.601-92, ГОСТ 34.603-92. 3. Невозможно создать адекватную систему защиты без создания модели угроз безопасности. Но по методике моделирования угроз АСУ ТП или объ- ектам КИИ до сих пор идут споры, отсут- ствует новый методический аппарат, который ФСТЭК планировала выпустить в 2020 г. Впрочем, есть действующий методический аппарат моделирования угроз безопасности объектов КСИИ, но он также имеет недостатки и не связан с банком данных угроз ФСТЭК. Практические вопросы Предлагаемых решений по созданию систем защиты объектов АСУ ТП, КИИ сегодня много, но иногда даже на этапе пилотирования то или иное решение не совсем подходит для конкретного пред- приятия по техническим причинам. Увы, сегодня не существует универсального программного или программно-аппарат- ного комплекса, с помощью которого можно было бы выполнить все требова- ния руководящих документов по защите объектов АСУ ТП, КИИ, купив и внедрив их на защищаемом объекте. Поэтому владельцам объектов АСУ ТП, КИИ очень нужны типовые кейсы, причем не от какого-то отдельного вендора, а общеотраслевые. Чтобы можно было выбрать из перечня готовый вариант реше- ния для создания системы защиты объ- ектов АСУ ТП, КИИ той или иной категории значимости, к примеру предприятия энер- гетической сферы, зная, что система защи- ты "А" закроет одну часть законодательных требований, система защиты "Б" закроет другую часть требований и т.д. Важный вопрос – принципиальная интегрируемость предлагаемых вендо- рами решений. Это нужно знать и учиты- вать еще до проведения пилотного про- екта, а также на этапе проектирования системы защиты объектов АСУ ТП, КИИ. Особенно это актуально для секторов, работающих с гособоронзаказом, потому что для них даже типовых решений может и не быть. Конечно, каждая отрасль, каждый кон- кретный объект АСУ ТП, КИИ уникальны. Но есть типовые решения, их разработку могло бы на себя взять государство в лице ФСТЭК или вендоры, производя- щие те или иные системы защиты, или интеграторы, их устанавливающие. Необходимо обобщить и обобществить опыт по внедрению не только своего продукта, но и смежных, с учетом данных о совместимости, и желательно это про- делать для различных отраслей. Комплексные программные и про- граммно-аппаратные решения для защи- ты объектов АСУ ТП, КИИ достаточно сложны, и службам информационной безопасности иногда тяжело самостоя- тельно разобраться с их функционалом и настройкой. Поэтому сотрудникам служб ИБ необходимо постоянно повы- шать свой уровень квалификации и быть обученными уже на этапе внедрения, опытной и промышленной эксплуатации, чтобы исключить факторы непреднаме- ренного воздействия с последующим нарушением работоспособности про- мышленных систем. l Современные реалии защиты объектов АСУ ТП ще недавно среди экспертов было распространено сильное заблуждение, что АСУ ТП являются наиболее защищенными системами, поскольку работают без подключения к внешним сетям. Но сейчас десятки тысяч элементов АСУ ТП подключены к Интернету, и злоумышленники стали уделять больше внимания атакам на промышленные предприятия. Е Вадим Ерышов, к.т.н., руководитель кафедры “Информационная безопасность” Академии АйТи Ваше мнение и вопросы присылайте по адресу is@groteck.ru